商用网络在互联网上得以运行, 首先应建立或使原有的网络
升级为内部网, 而专用的内部网与公用的互联网的隔离则有赖于
防火墙技术。有了防火墙, 商家们便可以比较安全地在互联网上
进行相应的商业活动。
1. 防火墙技术
“防火墙”是一种形象的说法, 其实它是一种由计算机硬件
和软件的组合, 使互联网与内部网之间建立起一个安全网关
( scurity gateway), 从而保护内部网免受非法用户的侵入。工
作原理如图1所示。
据图1 可以看出, 所谓防火墙就是一个把互联网与内部网隔
开的屏障。
防火墙有二类, 标准防火墙和双家网关。标准防火墙系统包
括一个UNIX工作站, 该工作站的两端各接一个路由器进行缓冲。
其中一个路由器的接口是外部世界, 即公用网; 另一个则联接内
部网。标准防火墙使用专门的软件, 并要求较高的管理水平, 而
且在信息传输上有一定的延迟。双家网关 (dual home gateway)
则是标准防火墙的扩充, 又称堡垒主机(bation host) 或应用层
网关(applications layer gateway), 它是一个单个的系统, 但
却能同时完成标准防火墙的所有功能。其优点是能运行更复杂的
应用, 同时防止在互联网和内部系统之间建立的任何直接的边疆,
可以确保数据包不能直接从外部网络到达内部网络, 反之亦然。
随着防火墙技术的进步, 双家网关的基础上又演化出两种防
火墙配置, 一种是隐蔽主机网关, 另一种是隐蔽智能网关( 隐蔽
子网)。隐蔽主机网关是当前一种常见的防火墙配置。顾名思义,
这种配置一方面将路由器进行隐蔽, 另一方面在互联网和内部网
之间安装堡垒主机。堡垒主机装在内部网上, 通过路由器的配置,
使该堡垒主机成为内部网与互联网进行通信的唯一系统。目前技
术最为复杂而且安全级别最商的防火墙是隐蔽智能网关, 它将网
关隐藏在公共系统之后使其免遭直接攻击。隐蔽智能网关提供了
对互联网服务进行几乎透明的访问, 同时阻止了外部未授权访问
者对专用网络的非法访问。一般来说, 这种防火墙是最不容易被
破坏的。
2. 数据加密技术
与防火墙配合使用的安全技术还有数据加密技术是为提高信
息系统及数据的安全性和保密性, 防止秘密数据被外部破析所采
用的主要技术手段之一。随着信息技术的发展, 网络安全与信息
保密日益引起人们的关注。目前各国除了从法律上、管理上加强
数据的安全保护外, 从技术上分别在软件和硬件两方面采取措施,
推动着数据加密技术和物理防范技术的不断发展。按作用不同,
数据加密技术主要分为数据传输、数据存储、数据完整性的鉴别
以及密钥管理技术四种。
(1)数据传输加密技术。
目的是对传输中的数据流加密, 常用的方针有线路加密和端
——端加密两种。前者侧重在线路上而不考虑信源与信宿, 是对
保密信息通过各线路采用不同的加密密钥提供安全保护。后者则
指信息由发送者端自动加密, 并进入TCP/IP数据包回封, 然后作
为不可阅读和不可识别的数据穿过互联网, 当这些信息一旦到达
目的地, 被将自动重组、解密, 成为可读数据。
(2)数据存储加密技术。
目是防止在存储环节上的数据失密, 可分为密文存储和存取
控制两种。前者一般是通过加密算法转换、附加密码、加密模块
等方法实现; 后者则是对用户资格、格限加以审查和限制, 防止
非法用户存取数据或合法用户越权存取数据。
(3)数据完整性鉴别技术。
目的是对介入信息的传送、存取、处理的人的身份和相关数
据内容进行验证, 达到保密的要求, 一般包括口令、密钥、身份
、数据等项的鉴别, 系统通过对比验证对象输入的特征值是否符
合预先设定的参数, 实现对数据的安全保护。
(4) 密钥管理技术。为了数据使用的方便, 数据加密在许多
场合集中表现为密钥的应用, 因此密钥往往是保密与窃密的主要
对象。密钥的媒体有: 磁卡、磁带、磁盘、半导体存储器等。密
钥的管理技术包括密钥的产生、分配保存、更换与销毁等各环节
上的保密措施。
3. 智能卡技术
与数据加密技术紧密相关的另一项技术则是智能卡技术。所
谓智能卡就是密钥的一种媒体, 一般就像信用卡一样, 由授权用
户所持有并由该用户赋与它一个口令或密码字。该密码与内部网
络服务器上注册的密码一致。当口令与身份特征共同使用时, 智
能卡的保密性能还是相当有效的。
网络安全和数据保护达些防范措施都有一定的限度, 并不是
越安全就越可靠。因而, 在看一个内部网是否安全时不仅要考察
其手段, 而更重要的是对该网络所采取的各种措施, 其中不光是
物理防范, 还有人员的素质等其他“软”因素, 进行综合评估,
从而得出是否安全的结论。